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La presente invention conceme les systemes de carte a 
puce et notamment les systemes de paiement electronique 
permettant 1 • achat de produits par son possesseur grace a une 
carte a puce sans faire appel a des transferts de monnaie 
fiduciaire et conceme plus particulierement un systeme de 
carte a puce securise servant notamment de porte-monnaie 
electronique . 

Le systeme de carte bancaire permet deja ce genre de 
transaction, mais il est reserve a des montants assez Sieves, 
et necessite la liaison directe avec un compte bancaire. 

Differents systemes de porte-monnaie electronique (PME) 
ont ete mis au point, qui permettent le rechargement d'une 
certaine somme d' argent et des achats de produits ou services 
d'un montant infer ieur ou egal a la somme d' argent disponible.' 

D'une maniere generale, les porte-monnaie electroniques se*. 
presentent comme des cartes a puce classiques. lis sont| 
essentiellement rechargeables . Dans le cas des PME jetables^ 
le module electronique est essentiellement constitue par unej . 
mSmoire simple dont le contenu, representant le soldej 
disponible, est decrements a chaque utilisation du montant de; 
la transaction effectuee et ceci jusqu'a Spuisement du solde. 
Ce type de porte-monnaie electronique fonctionne exactement 
comme une carte telephonique prepayee . Le PME rechargeable a 
une structuxe-plus complexe puisqu' il comprend__une.. memoire 
r€inscriptible dans laquelle est defini un fichier solde dont 
le contenu est, comme pour le PME jetable, decrements a chaque 
transaction, ou, au contraire, increments du montant de la 
somme rechargee, toutes ces operations s'effectuant sous le 
contrdle d'un micro-processeur et avec un degre de 
30 securisation inexistant dans les PME jetables. 

Le systeme de gestion des PME rechargeables necessite un 
systeme d' acquisition et de rechargement et un systeme 
permettant le controle de la circulation de la monnaie 
electronique et done une nouvelle architecture par rapport au 
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systems CB deja existant . En effet, le systeme de gestion du 
PME necessite un systeme contrdlant a la fois 1' emission a 
distance et 1 ' acquisition de monnaie electronique . Tous ces 
systemes de PME sont recharges via des bornes et presentent un 
niveau de securite inferieur a une puce-argent materielle. 

Parmi les systemes de porte -monnaie electronique connus a 
ce jour, le systeme deer it dans la demande de brevet europeen 
EP 90400280.5 est un mecanisme souple dans lequel la carte a 
puces a la disposition de 1 ' utilisateur comprend une puce 
permanente et une puce amovible dont la memoire contient le 
montant du credit autorise, ce credit ' etant" decrement e a 
chaque transaction, la carte etant logee dans un boitier prevu 
a cet effet. 

Toutefois, du fait que la memoire de la puce amovible 
peut etre modifiee (elle 1 - est ■ a chaque transaction), elle 
presente par ses acces multiple a la memoire, une fragilite 
securitaire plus grande que celle offerte par une puce a 
lecture unique. 

En outre, un systeme dans lequel la puce amovible n'est 
pas soumise a un organisme central de contr61e fait courir le 
risque d'une variation incontrolable de la masse monetaire par 
creation de monnaie electronique. 

C'est pourquoi le but de 1' invention est de fournir un 
systeme— de— carte a puces pouvant servir ...„d_e. ..porte-monnaie 
electronique du type comportant un module permanent et un 
module amovible dans lequel il n'est pas possible de modifier 
le montant de credit contenu dans le module amovible qui est 
par ailleurs sous le contrSle de la banque centrale. 

L' invention concerne done un systeme de carte a puce 
securise comprenant essentiellement une carte sur laquelle est 
monte un premier module const itue d'un rnicroprocesseur et 
d'une memoire programmable securisee, et un deuxieme module 
jetable comportant essentiellement une memoire a lecture 
unique contenant un montant de credit predetermine a la 
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disposition de 1 'utilisateur, la memoir e a lecture unique 
etant pourvue de contacts externes destines a cooperer avec 
des contacts correspondants d'un boitier dans lequel la carte 
a ete inseree. Le boitier comprend des moyens de communication 
pour communiquer avec un terminal exterieur destine a 
enregistrer une transaction et des moyens de connexion pour 
connecter les premier et deuxieme modules entre eux de maniere 
a decrementer la memoire programmable securisee du montant de 
la transaction. La memoire a lecture unique du deuxieme module 
contient, outre le montant de credit predetermine, un numero 
de serie unique " attribue par la banque centrale a l'instar 
d-un billet de banque, le montant de cr6dit et le numero 
unique etant enregistres dans la memoire programmable 
securisee par les moyens de communication lorsque la carte est 
inseree pour la premiere fois dans le boitier. f 
Les buts, objets et caracteristiques de .1' invention 
apparaitront plus clairement a la lecture de la description qui, 
suit faite en reference aux dessins dans ■ lesquels : 

- la figure 1 represente schematiquement la carte bi-puce 
selon 1' invention munie de la puce permanente et de la puce , 
amovible, 

la figure 2 represente schematiquement un mode de 
realisation pour 1' insertion de la puce amovible dans la carte 
bi-puce, 

- la figure 3 represente schematiquement une variante de 
realisation de la carte bi-puce selon 1' invention, 

- la figure 4 represente schematiquement un micro-boitier 
dans lequel une carte bi-puce selon 1' invention a ete inseree, 

- la figure 5 est un bloc-diagramme du systeme de paiement 
d'une transaction a I'aide du micro-boitier dans lequel une 
carte bi-puce selon 1' invention a ete inseree illustre sur la 
figure 4, et 
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la figure 6 est un organ igramrae represent ant les etapes 
d'une transaction effectuee avec le systeme de carte bi-puce 
selon 1' invention. 

La carte a puces selon 1' invention aussi appelee carte bi- 
puce par la suite est representee sur la figure 1. La carte 1 
comprend une puce permanente programmable 2 et une puce 
amovible jetable renouvelable qui correspond a un credit 
predetermine (par ex 100 euros) . 

De facon generale, la puce amovible est placee dans un 
evidement de la carte 1 par enclipsage. Selon le mode de 
realisation represents sur la figure 2, un evidement permet 
1' introduction de la carte par glissement grace a des guides 
males 20 realises sur la puce et femelles 20' realises sur la 
carte a puces 1. La largeur externe de 1' evidement B est 
legerement inferieure a la larc/eur de 1' evidement interne A, 
ce qui permet a la carte 1 de maintenir fermement la puce 
amovible par pression elastique. 

Dans un mode de realisation represents sur la figure 3 qui 
permet la lecture par contact de cette carte bi-puce par tout 
lecteur deja implante, la puce amovible 3 est positionnee 
selon une symetrie centrale par rapport a la puce permanente 2 
afin de permettre la lecture successive d'une puce puis de 
1' autre, par introduction, retrait, rotation, et 
^introduction de la carte..a puces 1 dans ledit lecteur qui se . 
substitue ainsi au micro-boitier selon 1' invention pour 
permettre la communication entre les deux puces 2 et 3 . 

En reference a la figure 4, la carte bi-puce s'insere dans 
un micro-boitier 6 disposant d'un ecran 9 et d'un clavier 10 
qui comporte les touches « valider », * activer », « demande 
30 d'autorisation » et * transfert », ainsi que de moyens de 
communication 11 utilisant la radiof requence, I'infrarouge ou 
tout autre moyen pour communiquer avec des moyens de connexion 
eloign£s comme decrit ci-dessous. 
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La puce amovible comprend essentiellement une memoire a 
lecture unique telle q'une EPROM qui contient un montant de 
credit predetermine et un numero de serie unique. Elle est 
preferentiellement emise directement par la Banque Centrale, 
5 qui conserve ainsi son monopole d' emission de la monnaie, ou a 
defaut par une banque qui consigne une some equivalent e au 
montant des puces emises en cours d' utilisation, sous le 
controle de la banque centrale. Cette puce est en quelque 
sorte un veritable billet de banque numerique qui, en plus, a 
10 l'avantage d'Stre directement divisible, en gardant la trace 
de ces divisions. On l'obtient sans difficulty aupres des 
banques, a la Poste et dans tous lieux habilites a cet effet. 
A noter que., sur chaque puce amovible est grave ou imprime 
lisiblement tout ou partie du numero de serie de la puce, , 
15 cette inscription pouvant egalement f igurer sous forme de code 

S. barres. "t 
La puce permanente 2 est fixee sur la carte de preference | 
selon la norme ISO. Cette puce contient essentiellement un ^ 
microprocesseur et un ensemble de memoires hautement ,| 
20 securisees et programmables (ROM, PROM et une memoire .... 
reinscriptible EEPROM) pour memoriser un code d' identification 
du possesseur, differents parametres tels que profil, donnees 
• categorielles utiles au porteur (benefice de tarifs reduits, 
...autorisations d' acces ,...), . Les memoires mortes memorisent les 
25 logiciels de gestion des transactions et un ensemble 
d'algorithmes utiles pour" permettre un niveau de securite 
optimum. Lesdites memoires mortes memorisent egalement 
d'autres algoritnmes permettant d'autres fonctions decrites 
plus loin. La memoire EEPROM est partitionnee , chaque 
30 partition etant dediee. a un usage precis. Les acces aux 
differentes partitions sont proteges par des codes 
confidentiels et /ou par des cles de cryptage, notamment 
1' acces a et la gestion de la memoire (5) lors de toute 
transaction. La poscibilite de disposer de plusieurs 
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partitions permet a plusieurs prestataires tels que grande 
distribution, compagnie aerienne, d' adherer au systeme et de 
charger des applications specifiques et de pratiquer des 
politiques « marketing » ciblees « data mining ». 

Lorsque la carte 1 pourvue d'une nouvelle puce amovible 
est inseree dans le micro-boitier 6 pour la premiere fois, des 
moyens d' interconnexion contenus dans le micro-boitier 
permettent la connexion entre la puce permanente et la puce 
amovible. Le microprocesseur de la puce permanente provoque 
alors le transfert du montant predetermine et du numero de 
serie "unique contenus dans la memoire a lecture unique de la 
puce amovible vers la memoire securisSe de la puce permanente 
grace a des moyens d' interconnexion (non months) dont est 
pourvu le micro-boitier 6 . 

Une fois que la somme d'argent integree dans la puce 
amovible a ete transferee dans la memoire securisee de la puce 
permanente, la puce amovible n'a plus aucune valeur et ne pent 
plus etre utilisee par son possesseur. Neanmoins, le 
microprocesseur verifiers sequent iellement et avant toute 
transaction que la puce amovible est toujours presente dans la 
carte bi-puce a des fins de securite. 

L' elect ronique du micro-boitier 6 permet d'une part de 
faire communiquer les puces 2 et 3 de la carte bi-puce entre 
eTLes comme on vient de le voir, mai_s__egalement de gerer les 
echanges de donnees entre les moyens de communication (11) et 
des moyens de connexion exterieurs (12). Dans tous les cas, 
c'est le microprocesseur de la puce permanente qui controle 
les operations d' echange de donnees via le micro-boitier 6 
entre la carte bi-puce et les moyens de connexion exterieurs. 
30 Les autres fonctions du micro-boitier sont d' assurer 

1' alimentation electrique de la carte bi-puce qui est pourvue 
de piles, et de permettre la lecture des puces 2 et 3 , 
notamment a des fins de controle, d' information ou de 
securisation des transactions. 
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L'echange de donnees entre le micro-boitier et une 
plural ite de moyens de connexion 12 est maintenant deer it en 
reference a la figure 5. Dans le cas le plus general, le raoyen 
de connexion utilise sera une borne 12'. Celle-ci est pourvue 

5 des moyens de communication sans contact permettant de 
cooperer avec les moyens de communication du micro-boxtier 6. 
Elle est egalement pourvue d'un lecteur de cartes a puce 16 
permettant aussi les echanges avec contact. La borne 12' est 
situee chez tout commergant, prestataire de services, bus, 

10 parking, et regoit une succession de paiements et autre 

donnees! Les donnee echangees entre le micro-boitier (6) et la 
borne (12') sont de quatre natures : 

(a) les donnees de controle des echanges : reconnaissance 
mutuelle, anticollision si plusieurs micro-boitiers emettent 

15 en meme temps, cryptage, etc.. Ces donnees ont pour seul but ^ 
de fiabiliser les echanges entre les micro-boitiers 6 et les | 

bornes 12' , ' >f 

.(b) les donnees representant le montant de chaque ^ 
transaction, lesdits montants etant memorises dans une memoire r, 
20 securisee de la borne 12', v 
(c) les donnees permettant la gestion des flux et la 
securite : suivi de la masse d' argent en circulation et 
donnees de securite contre la fraude, 

(d) les donnees commerciales ou div erses : campagne de 

25 promotion pouvant etre liee aux caracteristiques personnelles 
de l'utilisateur memorisees dans une memoire de la puce 
permanent, politique d' incitation et/ou de " f idelisation, par 
exemple un pourcentage de certaines depenses, achat ou 
service, peut etre memorise dans un espace memoire dedie de la 
30 puce permanente et devenir disponible pour l'utilisateur sous 
certaines conditions . 

Regulierement, pa?" exemple chaque nuit, la borne 12' se 
connecte a un systeme inf ormatique centralise 14 pour 
transmettre les donnees (b) , (c) et ^ventuellement (d) 
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definies plus haut, lesquelles data, memorises dans une 
memoire de masse adaptee, vont pertaettre de determiner le 
montant des paiements de la journee et 1' ensemble des donnees 
de securite et de contr61e. Le systeme informatique realise 
ensuite une procedure qui a pour effet de traiter les donnees 
(b) afin de porter au credit du cotnpte associe a la borne 12' 
la montant des paiements de la journee, et de realiser 
1' ensemble des contrSles, verifications et statistiques utiles 
en traitant les donn^e (c) • 
) Le lecteur de carte a puce 16 de la borne 12 ' permet en 

"' cas de def alliance du micro-boitier ou de piles usees, 
d' assurer les echanges par contact en introduisant la carte a 
puce 1 dans le lecteur 16. Selon un autre mode de realisation 
de la borne 12', celle-ci peut etre portative, a 1'instar des 
15 terminaux de paiement electronique existants . 

Un deuxieme type de moyens de connexion 12" consiste en 
des bornes specifiques disposes en des lieux specialis6s, par 
exemple dans les banques . Ces bornes se distinguent des 
precedentes car elles sont connectees en permanence au systeme 
informatique centralise 14. Les bornes specifiques 12" 
permettent a 1' utilisateur d'effectuer differentes 
transactions bancaires. Ces transactions ant ete prealablement 
introduites via le clavier 10 du micro-boitier 6 et 
enregistree^-dans la memoire de la puce permanente 2. Le 
microprocesseur de la puce permanente demande a 1 ' utilisateur 
1' introduction d'un code confidentiel preetabli avant 
d'enregistrer les instructions definissant les transactions 
dans une memoire de la puce 2. L< utilisateur peut alors 
transmettre les transactions preenregistrees (ou demandes de 
.0 renseignements) grace a la liaison sans contact autorisee par 
le micro-boitier 6 ou en introduisant la carte 1 dans un 
lecteur 16' de la borne 12". La borne 12" peut egalement 
transmettre vers le micro-boltier 6 toute donnee utile qui 
sera memorisee dans la memoire de la puce permanente 2 . 
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Un troisieme type de moyen de connexion exterieur consiste 
en un ordinateur personnel 12' ' ' relie au reseau Internet, au 
reseau commute, ou autres . la puce permanent e 2 de la carte a 
puces memorise dans sa memoire EPROM des logiciels et un ou 
plusieurs algorithmes capables de delivrer un numero 
d'autorisation assoeie a une transaction parfaitement d#finie. 
Ces logiciels et algorithmes sont egalement memorises dans le 
site marchand 21 du fournisseur de marchandises ou de services 
distants operant par le reseau Internet. L'exemple suivant 
permettra de mieux comprendre 

Monsieur Pierre Martin souhaite acheter un objet via un . 
site marchand sur le reseau Internet. II se connecte sur le 
site choi si qui lui propose une liste de produits avec 
leurs prix respectifs. .Monsieur Martin selectionne le ou 
les articles de son choix. Le site marchand 21 affichel, 
alors la liste des articles choisis et le prix a payer. Si~, 
Monsieur Martin est d r accord, il confirme sa commande. I»e£ 
site marchand 1' invite alors a donner ses coordonnSes (nom,A 
prenom, adresse) et le mode de reglement choisi . 

Monsieur Martin disposant du micro -hoi tier 6 dans lequel-, 
est inserSe sa carte bi-puce personnelle selon 1 ' Invention-; 
doit alors introduire via le clavier du micro-boitier les 
parametres de 1' achat en cours et notamment le montant a 

payer et presser. sur la touche : « Demande_ 

d'autorisation ». 

L'algorithme memorise * dans la memoire EPROM de la puce 
permanente prend en consideration tout ou parti e des 
parametres suivants : nom, prenom, adresse, date, montant a 
■ payer, nume'ro de la puce argent en cours. Si le 
microprocesseur determine que la transaction est possible 
(credit suffisant, conditions d'age, ...), il determine 
qrace a l'algorithme un numero d'autorisation spScifique a 
la transaction en cours. Le numero de serie de la puce 
amovible et le numero d'autorisation qui vient d'etre 
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calcule s'affichent alors sur 1' Scran 9 du micro -hoi tier . 
Une fois ces elements afficheS, le montant de la 
transaction est immediatement debitee dans la memoire 
securisee de la puce permanente. 

Monsieur Martin communique alors au site marchand via 
le clavier de son ordinateur 12"' lea donnees affichees 
sur l'ecran. L' in format ique du site marchand 21 disposant 
des me-mes algorithmes, determine a son tour un numero 
Cauterisation et valide la coherence avec celui qui vient 
d'etre communique" par l'acheteur, en fonction de quoi la 
commande est validee ou non, et la transaction financiere 
enregistree ou non. 

Une procedure analogue peut etre realisee a partir de tout 
telephone 12"". Dans cette configuration, l'acheteur peut 
communiquer avec un robot par reconnaissance et synthase de la 
parole ou via un operateur humain. La validation de la 
transaction est alors realisee par introduction sur la clavier 
telephonique utilisant les frequence vocales (DTMF) , des 
Elements definis plus haut (numero de serie de la puce 
amovible et numero de 1' autorisation affiches sur l'ecran 9 du 

micro-boitier 6 . 

Lors de la premiere operation de paiement utilisant le 
credit d'une nouvelle puce amovible 3, le numero de serie de 
la puce est automatiquement transmis vers la borne .12 _ avec un 
code « nouvelle puce n° x activee », en plus du montant de la 
transaction. Cette information est ensuite retransmise vers 
le systeme informatique central 14 qui gere le suivi des 
puces lors de la tele-collecte des homes des commercants. 

De la meme facon, chaque fois que la memoire securisee de 
la puce permanente finit de consommer le montant de credit 
recu d'une puce amovible lors d'une operation de paiement, le 
numero de serie de la puce amovible en fin de vie est transmis 
vers la borne 12 avec un code * puce n° y epuisee * en plus 
du montant de la transaction, cette information remonte vers 
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le systeme inf ormatique central 14 comme il a ete dit plus 
haut . 

Ainsi l'organisme gestionnaire peut connaitre avec 
precision et en temps quasi reel : 

1/ 1' ensemble des puces amovibles emises et distributes et 
non initialisers (eventuellement thesauristes) , 

2 / 1' ensemble des puces amovibles emises et en cours 
d' utilisation, 

3 / 1' ensemble des puces amovibles epuisees. 

Ces trois informations cles permettent de . suivre avec 
precision les volumes de monnaie electronique emis, en cours, 
thesaurises et epuises. Toute tentative de creation de fausse 
monnaie electronique est done immediatement detectee. Par 
consequent, ce systeme presente une tres forte dissuasion a la 
fraude. Ainsi, un lot de puces volees peut etre mis en : 
opposition immediate par transmission aux bornes ( 12, 12',.... 
) . d'une liste noire des numeros de serie des puces volees. 

Ce systeme permet- done aussi a la banque centrale de, 
connaitre parfaitement l'etat de sa masse monttaire et/ou a la 
banque emettrice de gerer au mieux les sommes a consigner en 
contrepartie des puces qu'elle a emises. 

Une variante de la procedure precedente consiste a 
communiquer systematiquement , ^ chaque transaction, le numero 
de serie de_La__pn.ee amovible, ce qui permet un suiyi_ plus fin, 
mais en contrepartie une gestion de donnees plus lourde. 

Les transactions 

Chaque transaction entre le micro-boitier du client et la 
* borne » du commergant se deroule en 3 phases : 

1. Le commergant tape le prix sur son clavier. Ce prix 
s'inscrit simultanement sur le micro-boitier du client. 

2. Le client donne son accord en appuyant sur la touche 

Validation » de son micro-boitier . 
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3 . La memoire securisee de la puce permanente 2 qui a ete 
prealablement chargee par une puce amovible 3 est alors 
debitee du montant de la transaction et la memoire du 
commercant est creditee du meme montant. 
Comme il a ete dit plus haut, la carte a puces 1 pent 
effectuer les transactions a defaut de micro-boitier et avec 
contact. Dans ce cas, le positionnement de la puce permanente 
est aux normes ISO, ce qui permet a la tres grande majorite de 
lecteurs existants de traiter les transactions sans 
modification du materiel, mais a l'aide d'un logiciel 
d< application qui" pent" etre tele -charge au cours d'une 
connexion avec le systeme informatique centralise 14. 
Dans le cas d'une lecture avec contact, 

Les differentes etapes de la transaction sont decrites dans 
1 ' organigramme (represents sur la figure 6 

1/ Activation du micro-boitier par une press ion sur la 
touche « Activer » du micro-boitier 6. 

2/ ContrSle de la presence de la puce amovible par le 
microprocesseur de la puce permanente, et verification que le 
numero de serie de cette derniere correspond a celui qui a 
permis le rechargement de la memoire. Si le contrSle n'est pas 
positif, un message d'erreur s'affiche a l'ecran 9 et 
1' 61ectronique est inactivee. 

3/ Si le contrdle est positif ^le microprocesseur memorise 
les parametres du contrdle et notamment l'heure et le date 
dudit controle et donne une autorisation temporaire de 

transaction. 

Si le paiement est realise sans contact : 

5/ Le commercant introduit le prix a payer sur le clavier 
d ' une borne 12 . 

6/ La borne emet et echange des donnees a) avec le micro- 
boitier dans le but d'une reconnaissance mutuelle. 

7/ Le montant de la transaction est emis de la borne 12 
vers le micro-boitier 6. 
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8/ Ledit montant s'affiche a 1' Scran du micro-boxtier 6. 
9/ Si le possesseur ne presse pas la touche « Valider », la 
transaction est abandonnee. Si, comme dans le cas general, il 
presse sur la touche « valider », alors, 
5 10/ Le microprocesseur analyse la faisabilite de 

I 7 operation : 

- credit suffisant ou credit relais conforme, 

- autorisation temporaire de transaction (etape 3) 
valide, 

10 - analyse des parametres de profil memorises dans la 

memoire permanente et modifications eventuelles du 
montant de la transaction ou invalidation (reduction, 
age minimum. . . ) . 
.11/ Si 1' etape 10 est satisf aisante, le micro-boxtier et la. 
15 borne echangent les donnees b) c) d) . A defaut d' etape 10*. 
satisf aisante, la transaction est abandonnee. *J 
12/ la transaction est realisee : *i 

- debit de la puce amovible de l'acheteur, > 
-■ credit du meme montant de la memoire de la borne dii^ 

20 commergant , 

- memorisation des donn<§es c) et d) dans une memoire de 
la borne du commergant 

- memorisation eventuelle de donnees d) dans une memoire 
de la puce permanente de la carte a puces. 

25 Si le paiement est realise avec contact : 

5'/ le commergant introduit le prix a payer sur le clavier 
de la borne 12, 

6'/ le client possesseur de la carte a puces introduit 
cette derniere dans le lecteur de carte attache a la borne 12, 
30 7' / le microprocesseur analyse la validite de 

1' autorisation temporaire (etape3) . Si la validation est 
satisfaisante, on revient a 1' etape 10, sinon la transaction 
est abandonnee . 
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Cinq categories d'acteurs sont concemees dans une 
transaction par la mise en oauvre de 1' invention : 

-L'emetteur de cartes » fournit a la population concernee : 
les micro-boitiers 

les cartes pourvues de leur seule puce permanente 
-L/emetteur de puces amovible : la banque centrale ou toute 

banque habilitee 
-L'utilisateur, possesseur du micro-boitier. 

-L'utilisateur de transactions : les commergants ou 
prestataires equipes de moyens de connexion (12' , 12" , 12 ' " ' 

^ -Le collecteur : un ou plusieurs etablissements bancaires ou 
financiers locaux, appele(s) a crediter les comments 

quotidiennement . 

Selon un mode de realisation particulier, deux micro- 
boitiers, un donneur et un receveur, pourvus de leur carte a 
puces, peuvent egalement echanger entre eux de faibles sommes 
d' argent. Pour effectuer les echanges de donnees permettant le 
transfert d'argent de 1'un vers 1' autre, les deux boitiers 
doivent etre a proximite et se faire face si le moyen de 
communication utilise est 1 < inf rarouge . Une telle transaction 
doit repondre aux criteres de security d' anonymat et de 
responsabilisation du receveur pour dissuader la fraude. 

En supposant que__le. premier micro-boxtier doive transferer 
une somme de 3 € vers ■ le second, le possesseur du micro- 
boitier donneur introduit le montant du transfert sur le 
clavier dudit micro-boitier, et presse la touche transfert. Le 
possesseur du micro-boitier receveur a proximite doit alors 
presser sur la touche «. activer ». 

- Le premier micro-boitier debite 3 € de la memoire 
securisee de la puce permanente logee dans le micro- 
boitier, et transmet ce montant ainsi que le numero de 
serie de la puce amovible qui a permis de crediter la 
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memoire securisee vers le micro-boitier receveur qui est 
en etat d'attente . 
- Le . raontant de 3 € s'affiche a 1'ecran du micro-boitier 
receveur puis est credite dans une memoire securisee de 
5 la puce permanente de la carte a puces logee dans le 

boitier receveur, cette memoire specifique etant dediee 
aux sommes regues d'un autre micro-boitier selon la 
procedure qui vient d'etre decrite. De plus, le numero de 
serie de la puce amovible logee dans le micro-boitier 
10 emetteur est egalement memorise dans cette meme memoire, 

lequel numero de serie est associe a la transaction qui 
vient d'etre realisee. 
Pour des raison de securite, cette .procedure ne peut etre 
reiteree qu'un faible nombre de fois (3 a 5 par exemple) et ne 
15 peut porter que sur de faibles montants. Aux premiers 1 ^ 
paiements que va effectuer le possesseur de la carte a puces.^ 
logee dans le micro-boitier qui a regu une somme d' argent.-* 
. venant d'un autre carte & puces via les echanges entre deux jf 
-micro-boitiers, c'est le (ou les) montant memorise . dans la-:; 
20 memoire permanente qui va etre depense en priorite. * 
La memoire permanente qui permet de memoriser des sommes : 
d' argent venant d'une autre carte a puces via un micro- 
boitier, peut enregistrer plusieurs transactions tel que 

decrit plus haut . La memoire permanente enregistre les 

25 parametres propres a chaque transaction (numero de serie de la 
puce amovible du donneur et 'montant de la somme rec?ue, et pour 
responsabiliser le receveur, son code d' identification) , 
lesquels parametres seront transmis au systeme informatique 14 
pour toute operation de paiement, ceci aussi longtemps que le 
30 montant enregistre dans la memoire permanente ne sera pas 
epuis§e . 

De nombreuses variantes de 1' invention peuvent etre 
envisagees. Ainsi, la puce amovible peut etre representative 
d'un pret, la puce permanente memorisant alors les modalites 
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de gestion du pret dont elle genere automat iquement lee 
remboursements, transmis lors d'un connexion avec un moyen de 
connexion 12 . 

A noter que, selon une variante, si le credit disponible 
memorise dans la memoire permanente s'avere insuffisant pour 
effectuer un paiement, on peut envisager que le 
microprocesseur precede neanmoins a ce paiement dans la limxte 
d'un credit relais autorise dont le montant predefini est 
memorise dans la memoire permanente, ce credit relais etant 
rembourse des la mise en place d'une nouvelle puce amovible. 

Enfin, on imagine tres bien que la carte a' puces integre, 
outre 1'evidement destine a la puce amovible, un deuxieme, 
voire un troisieme evidement destines a recevoir d'autres 
puces contenant par exemple des valeurs- argent specif iques, 
type tickets restaurant, des jeux, des parametres d'acces a 
des lieux securises, etc.. Dans cette hypothese, le micro- 
boltier doit etre pourvu des connecteurs correspondants . 

Le systeme qui vient d'etre decrit est un porte-monnaie 
electronique a vocation universelle, qui concerne cent pour 
cent d'une population, bancarisee ou non, sans obligatxon de 
disposer d'une carte bancaire pour le rechargement , ni meme 
d'etre titulaire d'un compte bancaire. II peut realiser toutes 
les operations et presente tons les avantages permis par la 
monnaie fiduciaire (paiement anonyme, thesaurisation possible) 
tout en apportant aux institutions bancaires des avantages 
importants tels que 1' emission de monnaie centralist et 
securisee, et le suivi des flux automat ise. 

Une autre application des concepts de 1' invention consiste 
a lutter centre la contrefacon. Pour ce fire, une puce 
) d< authentication est solidarisee a tout objet de luxe et 
onereux (montre, bagagerie . . . ) selon tout moyen connu, la puce 
d < authentication pouvant etre desolidarisee de 1'objet de 
lui-ce par le vendeur lors de la vente . 
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La puce d' authentif ication est en fait une puce amovible 
qui, lors d'une verification, doit §tre inseree dans un 
evidement de la carte a puces 2. Comme precedemment , la puce 
est exploitee via un micro-boxtier 6, grace a au moins un 
5 algorithme memorise dans la puce permanente. Elle integre deux 
zones memoire. La premiere zone memorise un code 
d' identification et un numero de serie unique de 1' article. 
Exemple : « bagage modele x couleur y n° de serie z ». Le 
vendeur de l'objet de luxe dispose d'un appareil comprenant 
10 des moyens capables d'inscrire, une seule fois et au moment de 
la vente, dans la seconde zone de memoire les parametres de la 
vente (date, nom du vendeur, montant, conditions et preuve de 
la garantie, eventuellement nom du futur possesseur ) . ♦ . 

L ' authentif ication de 1'article vendu est realisee apres 
15 introduction de la carte ' a puces munie de la puce^. 
d' authentif ication dans un micro-boitier . Le microprocesseuri 
de la puce permanente, grace a au moins un algorithme m£moris.ej 
dans sa memoire EPROM, est capable de lire les informations; 
contenues dans les memoires de la. puce et d' en verifier la ? 
20 coherence . 
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REVENDICATIONS 



Systeme de carte a puces securise comprenant une carte bi- 
puce (1) comportant une premiere puce (2) constitute 
essentiellement d'un microprocesseur et d'une memoire 
programmable securisee dite puce permanente et une deuxieme 
puce (3) amovible incluant essentiellement une memoire a 
lecture unique contenant un montant de credit predetermine a 
la disposition de 1 - utilisateur , et un micro-boitier (6) 
adapte pour y inserer ladite carte bi-puce, ledit micro- 
boxtier comprenant des moyens de communication (11) pour 
communiquer avec une unite de transaction exterieure, 
notamment une borne exterieure (12' , 12", 12"', 12"") 
destinee a enregistrer une transaction et des moyens 
d< interconnexion pour connecter lesdites premiere et 
deuxieme puces entre elles de maniere a decrementer ladxte 
memoire programmable securis6e du montant de la transactxon 
ef fectuee; 

ledit systeme etant caracterise en ce que ladite 
memoire a lecture unique de la puce amovible contient, outre 
ledit montant de credit predetermine, un numero de serxe 
unique attribue par la banque centrale a 1 ■ instar d'un 
billet de banque, ledit montant de credit et ledit numero 
unique etant ..enxegistres dans ladite memoire programmable 
securisee par lesdits moyens d' interconnexion lorsque ladite 
carte bi-puce est inserSe pour la premiere fois dans ledit 
micro-boxtier . 

2. Systeme selon la revendication 1, dans lequel ledit numero 
de serie unique est communique avec un code du type 
« nouvelle puce activee » a ladite borne exterieure (12' , 
12" 12"', 12"") par les moyens de communication (11) 
dudit micro-boitier (6) a 1' occasion de la premiere 



19 



transaction intervenant apres la mise en place d'une 
nouvelle puce amovible. 

3. Systeme selon la revendication 2, dans lequel ledit nuraero 
de serie de ladite puce amovible (3) est transmis vers 
ladite borne exterieure (12' , 12", 12'", 12"") avec un 
code du type « puce epuisee » lorsque le tnontant de credit 
predetermine enregistre dans ladite memoire programmable 
sficurisee a 6t£ 6puis6. 

4. Systeme selon la revendication 3, comprenant en outre un 
systeme informatique centralise (14) connecte a ladite borne 
exterieure (12' , 12" , 12' " , 12" " ) , cette derniere 
transmettant audit systeme informatique centralise le code 
du type « nouvelle puce activee » a 1' occasion de.;* la 
premiere transaction intervenant apres la mise en place 
d'une nouvelle puce amovible, et le code du type « puce 
epuisee » lorsque le montant de credit predetermine a, -ete 
epuise, lesdites informations permettant audit systeme 
centralise de suivre et de gerer les flux monetaires.. - r 

5. Systeme selon l'une des revendi cat ions 1 a 4, dans lequel 
ladite borne exterieure est un ordinateur personnel (12'") 
relie par le .J2e.se.au Internet a un site marchand._L2JJ. de 
maniere a permettre a 1 ' utilisateur dudit ordinateur 
personnel de pouvoir effectuer des transactions securisees 
avec ledit site marchand en utilisant ledit montant de 
credit . 

6. Systeme selon l'une des revendications 1 a 4, dans lequel 
ladite borne exterieure est un telephone (12"") relie par 
le reseau tSlephonique commute a un site marchand (21) de 
maniere a permettre a 1 ' uti lisateur dudit telephone de 
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pouvoir effectuer des transactions securisees avec ledit 
site marchand en utilisant ledit montant de credit. 

.Systeme selon la revendication 5 ou 6, dans lequel le 
microprocesseur de ladite puce permanente (2) utilise au 
moins un algorithme pour determiner un numero d' autorisation 
specifique a une transaction en fonction de differents 
parametres tels que lea coordonnees de 1'acheteur, le 
m ontant de la transaction, le numero de eerie de la puce 
amovible . — 

8 Systeme selon la revendication 7, dans lequel ledit systeme 
marchand (21) dispose du meme algorithme que celui dudxt 
microprocesseur de la puce permanente (2) de maniere a 
determiner un numero d' autorisation permettant de verifier 
la coherence avec celui qui a ete communique par ladite 
carte (1) - 

9 systeme selon la revendication 8, dans lequel la validation 
de la transaction est realisee par introduction au moyen du 
clavier dudit ordinateur personnel (12'") ou dudit 
telephone (12"") du numero de serie de ladite puce 
amovible (3) et d'un numero d' autorisation calcule par le 

microprocesseur de ladite puce _p_ermanente (2), lesdits 

numeros etant affiches sur 1'ecran (9) dudit micro-boitier 
(6) . 

10. Systeme selon 1'une des revendications 1 a 9, dans lequel 
le microprocesseur de ladite puce permanente (2) verifxe 
sequentiellement et avant toute transaction que ladite puce 
amovible (3) est toujours presente dans ladite carte bi-puce 

(1) • 
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11. Systeme selon l'une des revendi cat ions 1 a 10, dans lequel 
ladite borne (12' , 12", 12"', 12"") integre un lecteur 
de carte a puce (16, 16'), ce qui permet d' assurer la 
transaction par contact en introduisant la carte a puces (1) 

5 dans ledit lecteur en cas de defaillance dudit micro- 
boitier. 

12. Systeme selon la revendication 11, dans lequel ladite puce 
amovible (3) est positionnee selon une symetrie centrale par 

10 rapport a ladite puce permanente (2) afin de permet tre la 
lecture successive d'une puce puis de 1' autre, par 
introduction, retrait, rotation, et re introduction de la 
• carte a puces dans ledit lecteur (16, 16') . 

15 13. Systeme selon la revendication 1, dans lequel ladite ? .,unite 
exterieure est un second micro-boitier dans lequel.',: est 
inseree une seconde carte bi-puce, la transaction cons,istant 
a debiter le montant de credit de la memoire securisee de la 
puce permanente de la carte inseree dans le premier micro- 

20 boitier et a transmettre ledit montant ainsi que le numero 
de serie de la puce amovible vers le second micro-boitier, 
ce dernier creditant ledit montant dans la memoire securisee 
- de la puce permanente de . ladite seconde . carte et 
enregistrant le numero_.de. serie de la puce amovible ._de 

25 ladite premiere carte. 
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